Bij ON2IT staan we continu op scherp. We blijven onszelf constant verbeteren. We houden niet van bangmakerij of loos alarm maar juist van feedback loops die leiden tot daadwerkelijke verbeteringen.
Momentopnames zijn niet genoeg
Een eenmalige vulnerability assessment of pentest geeft een goede momentopname en helpt om het bewustzijn te vergroten en risico’s onder de aandacht te brengen. Toch is het risico van dit soort assessments of pentesten meestal een schijnbaar onoverkomelijke grote hoop problemen die aan het licht worden gebracht. Eenmalige assessments leveren eindeloze, vervelende lijsten op van assets die worden geplaagd door talloze problemen, waarbij slechts één moment in tijd wordt vastgelegd en er geen rekening wordt gehouden met de omgeving, de procesketen, waarin de details samen komen.
Gemiddeld is er elke 39 seconden een hack poging. De gemiddelde kosten van een datalek bedragen 3,9 miljoen dollar.
Het voortdurend testen van omgevingen op mogelijke exploitaties en exfiltraties is logisch
Gemiddeld vindt er elke 39 seconden een hack poging plaats [1]. De gemiddelde kosten van een datalek bedragen 3,9 miljoen dollar [1]. Klinkt dit als bangmakerij? Laten we er anders naar kijken. Er staat hier zeker iets op het spel. Wij zien een goede reden om in actie te komen. Gezien de grote intensiteit van de aanvallen en het grote, bewegende attack surface, vinden wij dat het zinvol is om een praktisch, hands-on verbeteringsproces te implementeren door omgevingen voortdurend te testen op mogelijk exploitaties en exfiltraties. We noemen dit continuous validation.
Drie doelen van continuous validation
Er zijn meerdere contexten en meerdere doeleinden voor continuous validation. Laten we de belangrijkste noemen.
1. Voldoet de compliance van security configuraties aan frameworks
Ten eerste willen we de operationele organisatie scherp houden. Dus meten we de compliance van security configuraties, inclusief beleid, tegen frameworks en sets van gedefinieerde best practices. Afwijkingen kunnen op die manier worden gesignaleerd, achteruitgang wordt aangepakt, en deze manier van constante evaluatie past ook mooi in een optimalisatieproces dat erop gericht is de kwaliteit in de loop van de tijd te verhogen, waarbij de voortgang onderweg ook wordt gemeten.
2. Vergroten van operationele effectiviteit
Een ander doel is het testen en vergroten van de operationele effectiviteit. Door daadwerkelijk cyberaanvallen uit te voeren op de eigen organisatie, wordt gekeken hoe snel deze activiteit wordt opgepikt en in welke mate en binnen welk tijdsbestek hierop wordt gereageerd.
Deze informatie wordt vervolgens gebruikt om het reactievermogen te verbeteren, het (geautomatiseerde) bewustzijn te vergroten – en opnieuw te valideren door de aanvallen steeds onopvallender te maken, de gevoeligheid van de securityorganisatie te vergroten en ook haar behendigheid in het omgaan met attacks in progress.
3. Breng een vulnerability service in kaart die zich in de loop van de tijd ontwikkelt
Een derde mogelijkheid is het in kaart brengen van een vulnerability service die zich in de loop van de tijd ontwikkelt. Uit de beginsituatie valt misschien minder te leren, maar veranderingen in de loop van de tijd zijn altijd interessant – of ze nu goed of juist slecht zijn. Veranderingen zijn stimulansen voor verdere verbetering.
Elke volgende iteratie zal de effectiviteit aantonen (of ontkrachten), zodat je kunt zien hoe je security posture verbeterd in de loop der tijd. Dit past als geen ander bij de Zero Trust benadering, die een zeer gecontroleerde manier van het aanscherpen van het security posture toelaat. Het geeft je feedback over positieve resultaten en subdoelen die behaald zijn.
Hoe werkt continuous security validation nu echt?
Continuous security validation is een proactieve aanpak om de security van jouw organisatie te versterken naarmate deze groeit, zicht ontwikkelt en, in de loop van de tijd, verandert. Het brengt de zwakke lekken in kaart en levert concrete verbetering maatstaven.
Emulatie is het daadwerkelijk uitvoeren van alle handeling precies zoals ze zijn. In tegenstelling tot een simulatie, waarbij gebruik wordt gemaakt van een virtuele weergave van handelingen en omgevingen.
Simulatie vs. emulatie: alle acties precies zo uit voeren als in het echt, om de validaties zo effectief uit te voeren. We maken gebruik van threat modeling frameworks zoals MITRE ATT&CK om realistische attack vectors te valideren. Dit stelt je in staat om emulaties uit te voeren.
We zeggen bewust niet ‘simulatie’. Emulatie is het daadwerkelijk uitvoeren van alle handelingen precies zoals ze zijn. Dit in tegenstelling tot simulatie, waarbij gebruik wordt gemaakt van een virtuele weergave van handelingen en omgevingen. Dit kan leiden tot vertekende resultaten.
Het echte werk
Simpel gezegd: we maken echt gebruik van bestaande kwetsbaarheden, remote en lokaal, voeren echte code uit op afstand, omzeilen echte antivirus maatregelen, speuren echt naar zwakke punten in authenticatie, en gebruiken echte ‘pivot’ hosts om complexe aanvallen uit te voeren en diep in het netwerk door te dringen.
De combinatie van skill sets die nodig is om deze security validaties uit te voeren is zeldzaam, moeilijk intern te vinden, moeilijk betrouwbaar uit te besteden – en kostbaar om structureel in dienst te hebben. Gelukkig zijn er platforms en oplossingen in opkomst die een groot deel hiervan kunnen automatiseren. Dit zorgt er ook voor dat je minder afhankelijk bent van de unieke technische capaciteiten en interesses van een bepaald individu die je voor zo’n rol zou aanstellen.
Kijk één keer, analyseer, breng veranderingen aan, kijk opnieuw – en blijf dit doen, stap voor stap.
Conclusie: kijk meer dan één keer
De belangrijkste lering die we je met dit artikel willen meegeven: Als je een bestaande situatie onder controle wilt krijgen en verbeteren, kijk dan niet één keer. Kijk in plaats daarvan een keer, analyseer, breng veranderingen aan, kijk opnieuw – en blijf dit doen, stap voor stap.
Steeds kleine veranderingen doorvoeren zal meer vruchten afwerpen dan één enkele, uitputtende inspanning.
Alex van Eersel & Jeroen Scheerder
Pentester & Research Lead
Voetnoten:
Referenties: